Vlákno názorů k článku
Držitelé domén mohli dostat falešné e-maily o prodloužení platnosti
od Marek - Prisla mi naprosto identicka vyzva od FORPSI, pouze...
-
Marek (neregistrovaný)
Prisla mi naprosto identicka vyzva od FORPSI, pouze s jinym bankovnim uctem a tak jsem tech 151CZK zaplatil. Po precteni zpravicky jsem si zkontroloval domenu, zjistil, ze jsem ji mel zaplacenou az do 2016. Zavolal jsem do AirBank (moje i cilova banka), zadal reklamaci. Rikali, ze o tom uz vedi a resi to. No, pekne neprijemnej pokus. Ted aby clovek neveril ani mailum od FORPSI....
-
Filip JirsákStříbrný podporovatelTen e-mail byl elektronicky podepsaný? Posílat peníze na účet, který je uvedený v nepodepsaném e-mailu, který může kdokoli snadno podvrhnout, je docela riskantní, nemyslíte? Chápu to u objednávky z e-shopu, která přijde pár minut po objednání na webu a je tam zboží, které jsem opravdu objednával. To by musel být útočník docela machr, aby tohle všechno dokázal zjistit, poslat falešný e-mail a ten pravý stopit. Ale u domény, kde sou všechny potřebné údaje veřejné? Já se takhle dohadoval i s vydavatelstvím, zda by fakturu k předplatnému časopisu nemohli posílat podepsaným e-mailem (nemohli). A to by měl útočník mnohem těžší sehnat správné údaje. Zdá se, že útočník udělal jedinou chybu, že to neposlal jen k doménám, jejichž platnost v blízké době opravdu skončí.
-
Marek (neregistrovaný)
Tak vono se velice jednoduse kritizuje, ale pokud od forpsi vzdy chodil nepodepsany uplne identicky mail, pouze s jinym uctem, pak asi nikoho, kdo neni maximalne paranoidni, nenapadne, prohlizet kdovico (hlavicky mailu apod.).
Copak vy v pripade, ze e-maily jsou vzdy stejne, pokazde zkoumate jake servery po ceste e-mail vymetl? Nebo byste se proste bloknul a prestal platit faktury, protoze je posilaji elektoronicky nepodepsane?
Ja nastesti tak paranoidni nejsem. Ale zas to ma tu nevyhodu, ze obcas clovek na chvili pozbude 151CZK.
Ale s prominutim vase poznamka typu "na to muze skocit jenom blbec" je hloupa. Nekteri lide proste jeste pocitaji se zakladni slusnosti a nemaji potrebu neduverovat kazde fakture.
-
Filip JirsákStříbrný podporovatel
Já nekritizuju, že někdo nezkoumal hlavičky e-mailů. Ostatně kterýkoli ze zákazníků Forpsi může pravděpodobně poslat e-mail, jehož hlavičky budou vypadat dost důvěryhodně.
Já kritizuju to, že když někdo dostal první nepodepsaný e-mail s fakturou, nezeptal se Forpsi, jestli je to fakt od nich a zda to opravdu myslí vážně - a pokud by obě odpovědi zněly "ano" (jako že to vypadá, že to Forpsi opravdu běžně dělá), měl doménu převést k jinému registrátorovi a zaplatit ji až u něj. Pokud je pro ně problém poslat podepsaný e-mail, nemají v něm fakturu vůbec posílat - mají poslat jen odkaz na web (HTTPS), kde si tu fakturu můžu stáhnout. Jak už jsem psal, já jsem odmítal platit předplatné časopisu na základě faktury z nepodepsaného e-mailu, a to by bylo mnohem těžší vyrobit fakturu s věrohodnými údaji. Údaje pro ty doménové faktury si každý může najít na internetu. Navíc jde o ISP, který navíc registruje domény, tak by snad mohl tušit, jak snadné je zfalšovat e-mail.
Já jsem žádnou poznámku typu "na to může skočit jenom blbec" nenapsal. Napsal jsem, že je to "docela riskantní". A když si přečtete i mé ostatní komentáře, zjistíte, že kritizuju především registrátory domén, kteří posílají nijak nezabezpečené faktury. Je to jejich obrovská chyba, ti koncoví uživatelé se akorát chytili do pasti, kterou na ně jejich registrátor připravil. Chyba těch koncových uživatelů je akorát v tom, že od takového registrátora dávno neutekli.
Proplatit každou fakturu, která se vám dostane do ruky, to není "počítat se základní slušností", to je těžko uvěřitelná naivita. To by vás fakt netrklo ani to, kdyby to přišlo z jiné domény a v úplně jiném formátu? Tady to bohužel nebyla "každá faktura", ale byla to úplně stejná faktura, na jakou klienta registrátor léta zvyká. Takže v tomto případě pochopím, že neznalí lidé netušili, že od takového registrátora mají prchat jak nejrychleji můžou.
Snad to povede alespoň k tomu, že se mezi lidmi rozšíří povědomí o tom, že se neplatí na základě údajů z nijak nezabezpečené faktury. Bylo by fajn, kdyby tomuhle lidé přikládali větší váhu, než paranoie z ukládání dat do cloudu nebo z NSA.
Mimochodem, zajímalo by mne, kolik je těch "postižených" registrátorů. Já jsem v diskusích zaznamenal akorát Forpsi. -
Filip JirsákStříbrný podporovatel
Podepsaná faktura, podepsaný e-mail, odkaz na HTTPS. Cokoli z toho. Ideálně všechny tři.
Ono by se to podepisování nemělo týkat jen faktur, ale i notifikací o změnách apod. A ty zpravidla neobsahují PDF přílohu, ale jen tělo e-mailu. Ale máte pravdu, že ověřit podpis v PDF je obecně jednodušší, než ověřit jej v e-mailu (zvláště tom webovém). -
Jenda (neregistrovaný)
Zajímavé, já v Thunderbirdu pracuji s podepsanými maily bez nejmenších problémů. A co vím, tak třeba v Muttu nebo Apple Mailu to také funguje v pořádku.
Problém je naopak s Outlookem - http://www.piacitelli.org/oe.php. Je to neuvěřitelné, ale tato chyba je i v Live Mailu ve Windows 8.
-
Filip JirsákStříbrný podporovatel
Mne do včerejška nenapadlo, že je některý nepodepisuje. Web4u posílá elektronicky podepsané faktury. Dříve jsem dostával podepsaný i celý e-mail s fakturou, dnes ne - nevím, zda přestali e-maily podepisovat, když je podepsaná faktura, nebo zda je to proto, že jsem přešel na předplatné. U Web4u je chyba v tom, že odkaz na ověření faktury v e-mailu vede na HTTP.
ČLÁNKY DO MAILU